lunes, 27 de agosto de 2007

Cómo hacer una red WiFi más segura

Decidí reunir una serie de recomendaciones para hacer más seguras las redes WiFi.

Tener en cuenta que todos los sistemas son vulnerables, sólo se trata de bajar el riesgo de ser vulnerado.

Divido las recomendaciones en dos partes: la del AP (Access Point) y la de la estación de trabajo.

En el AP

  • Cambiar el SSID por defecto. No conviene dejar aquellos que vienen de fábrica (ej: Linksys, 3COM, etc.)
  • Cambiar la contraseña del AP. Es relativamente fácil determinar el modelo del AP, y de ahí saber cuál es la contraseña del administrador por defecto.
  • Desactivar el broadcasting del SSID. Esto no agrega mucha seguridad, pero desalienta al 'hacker casual'.
  • Usar WPA o WPA2. No dejar la red sin seguridad. WEP es vulnerable (ver mi otro post http://www.tuxero.com/2007/08/howto-crack-wep-sony-vaio.html), de todas maneras, si no se cuenta con WPA o WPA2, WEP es mejor que nada.
  • Filtrar por MAC Address. Si bien puede cambiarse la MAC de una placa de red, esto es más complicado para el común de la gente.
  • Desactivar DHCP. A menos que no sea posible, utilizar direcciones de IP fijas en la red.
  • Limitar el número máximo de IPs en el DHCP. Esto limitaría la cantidad de dispositivos que se conectan a la red (de todas maneras más dispositivos pueden agregarse con IPs fijas).
  • Apagar el AP cuando no esté en uso. Esto no siempre es posible. Para redes hogareñas, esta opción es buena, siempre y cuando uno no deje la estación de trabajo prendida para acceder a ella desde internet.
  • Cambiar las claves regularmente. Con el tiempo las claves pueden ser obtenidas. Cambiarlas regularmente es una buena práctica.
  • Limitar la potencia del AP. Esto es bastante efectivo, siempre es conveniente bajar la potencia al mínimo posible (verificando que el dispositivo más alejado pueda conectarse correctamente). Esto baja las posibilidades de conexión de dispositivos distantes (por ejemplo que estén en la calle).
  • Ubicar el AP adecuadamente. Conviene dejar el AP en el centro de la residencia, lejos de las ventanas y paredes exteriores (ver punto anterior).
  • Usar contraseñas seguras. Conviene usar palabras clave que mezclen letras (mayúsculas y minúsculas), números y signos. Si fuera posible, utilizar contraseñas enteramente aleatorias en hexadecimal.
  • Deshabilitar administración remota en el AP. Esto previene que alguien desde fuera de la red gane acceso al AP.
  • Activar el Firewall en el AP.

En la estación de trabajo

  • Verificar quién instaló el AP. Existen APs que están para captar el tráfico de red de las estaciones de trabajo. Debe verificar que sea un AP legítimo.
  • Navegando por internet no ingresar contraseñas o información sensible en páginas no seguras. Antes de ingresar números de tarjetas de crédito, contraseñas bancarias o de correo electrónico, verificar que la dirección del sitio que visita empiece con 'https://'.
  • No tener carpetas compartidas públicas. Esto es un error bastante común: dejar carpetas compartidas mientras uno se conecta a una red inalámbrica (pública).
  • Verificar tener un firewall activo. Cuando uno se conecta en redes WiFi públicas está expuesto al ataque de otras estaciones de trabajo dentro de la red.
  • Apagar la placa de red inalámbrica cuando no esté en uso. Más allá del obvio ahorro de energía, un atacante podría crear una red ad-hoc con la placa de red activa.
  • Utilizar una VPN. Si uno cuenta con una VPN (generalmente disponible en entornos corporativos), esto hace más segura la conexión de la estación de trabajo.

Siempre hay que recordar que 'sólo se lo estamos haciendo más difícil'. Tampoco es cuestión de hacérselos fácil ;-)

Estoy abierto a sugerencias para ampliar esta lista de recomendaciones.
Pueden mirar los siguientes enlaces también:

Saludos!

English version

Technorati tags:

1 comentario:

Ynot dijo...

hola que tal.
he leido tu consejo para proteger las redes, pero fijate que en mexico, mucha gente deja su router modem por defaul, es decir, asi como se lo instala telmex asi lo dejan, y cuando ya sienten que alguien esta de intruso en su red quieren cambiarlo, asi ya es algo tarde porque teniendo la wep por defecto, hay varias maneras de mmm digamos resetear el modem y que regrese a su configuracion de fabrica, y obviamente si ya tienen la wepkey default pues podran ingresar de nuevo, la mejor manera es informarse antes de adquirir el producto o el servicio, en mi caso tengo un router linksys con encriptacion wpa2, no es la encriptacion infalible, pero porlomenos la mas dificil de corromper, ademas tengo oculto el BSSID, esto dificulta mas a los hackers casuales, que mas bien son lammers, a intentar hacer algo con su red, bueno espero les sirva mi comentario, y visiten
mi blog